欢迎来到华道众合官网收藏本站  |  网站地图  |  联系我们
HOME 首页 > ISO27001认证 > 如何理解ISO27001信息安全管理体系标准“8.3 信息安全风险处置”条款?

如何理解ISO27001信息安全管理体系标准“8.3 信息安全风险处置”条款?

文章来源:深圳华道顾问  添加时间:2020/3/24
信息安全进行管理,并不意味着将所有的资产置于绝对安全的保护措施,因为“绝对安全”意味着无法工作,同时成本也非常大。因此,需要有选择地实施风险处置。一般来说,风险处置可考虑:
——通过不启动或继续进行引发风险的活动来规避风险;
——为追求机会而接受或增加风险;
——消除风险源;
——改变可能性;
——改变后果;
——与另一方分担风险(包括合同、风险资金等);
——在充分了解情况的基础上决定保留风险(风险接受)。

风险处置阶段的工作,包含三部分内容,即:
(1)确定风险处置的目标,识别和选用可采用的风险控制措施;
(2)确定风险处置计划,就风险处置计划对风险的影响进行估算,确定残余风险水平,批准残余风险,或进入第二轮风险分析和风险处理计划的制定。
(3)实施风险处置计划,对风险处置的结果进行评价,确定实质上的参与风险水平,批准残余风险,或进入下一轮的风险分析。
您可能还想看
网站首页    |    ISO20000认证    |    ISO27001认证    |    ISO27000认证    |    行业知识    |    查询下载    |    认证证书    |    关于我们    |    联系方式